IT-audit en MKB-controle - Accountancy Nieuws

AnAccountantscontroleMaak IT startpunt van controle-aanpakIT-audit en MKB-controleCharles Rabe en Robert JohanDe tijd dat de klassieke accountant en EDP-auditor langs elkaar werken, is voorbij. Automatiseringin het MKB leidt ertoe dat een groot gedeelte van de interne controle isgeautomatiseerd. Daarvoor is een controleaanpak nodig, waarin IT op de eerste plaatswordt gezet gedurende de hele controle, IT first dus. In zo’n controle werken IT-Auditoren accountant nauw samen om tot een slimmere en efficiëntere controle te komen.Dan wordt er gebruik gemaakt van de geautomatiseerde controles in het IT-systeem.Er wordt een duidelijke keuze gemaakt welke controlewerkzaamheden de accountantnog wel - maar ook niet - doet.Om het systeem heen controlerenMet de komst van de WTA is detijd voorbij dat het controleteamvoor een interim controlenaar de klant gaat, zonder enige sturingvan de accountant-partner. Binnen SRAis er een goed initiatief opgezet (SRA ITaudit kring) om tussen de SRA-kantorenervaringen uit te wisselen hoe de IT-auditoringezet wordt tijdens de controle bijhet MKB. In deze kring is duidelijk dateen IT-auditor nog veel te beperkt wordtingezet in de MKB-controle. En als de ITauditorwordt ingezet, is er geen of onvoldoendeaansluiting van de werkzaamhedenvan de accountant en zijn team ophet werk van de IT-auditor. Dit kan bijeen controle leiden tot een onjuiste accountantsverklaring.Klassiek voorbeeldhoe dit (verkeerd) uitwerkt is de passagein de managementletter over de betrouwbaarheiden continuïteit van de gegevensverwerking,omdat dat nu eenmaal wettelijkzo is voorgeschreven. Dan wordtbijvoorbeeld een opmerking van de ITauditoringevoegd over het ontbreken vaneen adequaat passwordbeleid, zonder datdit effect heeft voor de accountantsverklaring(zie kader).Ondergeschoven kindjeIT in de controle is nog steeds een ondergeschovenkindje en wordt teveel gezienals een separaat onderdeel; een checklist.Bij bestandsanalyses wordtde gehele administratieingelezen en vindter rapportage opuitzonderingen plaats.De accountant bepaalt de auditrisks envoert de werkzaamheden buiten het ITsysteem om. IT-auditrisico’s worden overhoofd gezien.Als er een IT-auditor wordt ingezet, isdeze audit te weinig gericht op auditHet straffeloos ‘om het systeem heen controleren’ bij een ERP/IT-systeem waarbijhet passwordbeleid (authenticatie) niet goed is geregeld zal in veel gevallendienen te leiden tot een aanpassing van de accountantsverklaring. Authenticatieis een onvervangbare maatregel van interne controle. Achteraf is veelal nietmeer vast te stellen of de functiescheiding heeft gewerkt. Hoe kunt u vaststellendat, indien ook papieren sporen ontbreken, bijvoorbeeld de magazijnmeester eenontvangst heeft ingevoerd, indien de administrateur ook zijn password kent.Minder erg is het als de autorisaties niet goed zijn ingesteld, maar er wel sprakeis van een goede authenticatie. Immers, dan kan met IT-auditsoftware achterafworden vastgesteld wie wat heeft gedaan in het systeem en welke gevolgen ditzou moeten hebben voor de controle c.q de accountantsverklaring.risks, maar te veel op business risks. Devertaling naar de jaarrekeningcontrole ishierdoor moeilijk te maken. De klassiekeEDP-auditor en accountant sprekenniet dezelfde taal en de accountant kande bevindingen niet vertalen naar decontrole.De SRA ondersteunt accountantskantorenin het MKB door het aanbieden vandiverse praktijkhandreikingen en trainingen.Er is echter onvoldoende hulp bijhet selecteren van de juiste uit te voerenwerkzaamheden. Daardoor wordt de indrukgewekt dat er heel veel werkzaamhedenmoeten worden uitgevoerd, terwijldit vanuit budgettaire redenen veelal niethaalbaar zal zijn. Hierdoor en door hetontbreken van voldoende kennis bij deaccountantskantoren in het MKB is deacceptatiegraad bij deze kantoren onvoldoendeen worden deze producten te veelgezien als extra werkzaamheden, naastde controlewerkzaamheden. Gezien eenproduct zoals de Praktijkhandreiking Automatiseringis dit jammer.Om een efficiënte en slimme controle uit tekunnen voeren zal de moderne IT-auditorde klant beter moeten begrijpen en moetendenken vanuit de audit risks. De klassiekeaccountant dient de overstap te maken naareen IT first audit, waarbij op de risico’s inde interne controle van het IT-systeem vande cliënt de eerste focus wordt gelegd, ende daaraan gerelateerde audit risks wordenvertaald naar de controleaanpak. De IT firstaccountant neemt de stap om te kunnensteunen op IT en durft dan ook traditionelewerkzaamheden los te laten; gewoon nietmeer uit te voeren dus.IT first controleaanpakIn wezen is een IT first controle aanpakeenvoudig. Voor het mitigeren van auditrisico’s maakt de accountant gebruik vande interne controles die de cliënt zelf uitvoert.Een belangrijk verschil met klassiekecontroles is echter dat iedere con-20 www.accountancynieuws.nl

AccountantscontroleAntrole met IT zal starten, omdat de meesteinterne controles bij de cliënt in het MKBzijn geautomatiseerd en de meeste risico’svoortkomen uit de interne controles.De controle start dus met een IT-auditordie de IT en de mate waarin IT een rolheeft in de interne beheersing inventariseert.In dit stadium dient er tevens aandachtte worden besteed aan general ITcontrols. Voor veel accountants is dit ‘eenver van mijn bed show.’ Helaas, want decliënt loopt namelijk veel meer risico(business risk) indien het systeem toegankelijkis via het Internet. De accountantkan hier niet omheen, omdat de risico’svoor de jaarrekening (audit risk)steeds groter worden.ControleplanNa de inventarisatie door de IT-auditorvindt er overleg plaats met de IT First accountant:overleg over audit (inclusief IT)risico’s en de aanwezige geautomatiseerdeinterne controles. Samen bepalen zijhet controleplan.Heel belangrijk is het om vast te stellenwat er met IT wordt gedaan en wat er dus...angst bij de traditioneleaccountant: niet meer gegevensgerichtcontrolerenen vertrouwen op de applicationcontrols (fysiek ietsvinken of vastpakken kanimmers niet meer).niet (meer) handmatig wordt gedaan.Hier zit met name de angst bij de traditioneleaccountant: niet meer gegevensgerichtcontroleren en vertrouwen op deapplication controls (fysiek iets vinken ofvastpakken kan immers niet meer).Vervolgens bespreken de IT-auditor en deaccountant samen met de cliënt het controleplan.Indien IT geen grote rol heeftin de beheersing, blijkt meteen de grotetoegevoegde waarde van de aanpak, want95% van de ondernemingen zou gebaatzijn bij de inzet van IT bij interne controles.Een goed adviesmoment dus. Maarook meteen begrip voor de werkzaamhedenvan de accountant en de kostenvan de controle. Immers, indien er nietadequaat is geautomatiseerd dient er eenInterne systemen en InternetWaar voorheen een muur werd opgetrokken tussen de interne systemen en hetInternet zien we dat deze muur steeds verder – ook in het MKB - afbrokkelt. Immers:systemen tussen onder andere afnemers, leveranciers en andere relatiesworden steeds meer met elkaar gekoppeld. Daarnaast geven organisaties derdensteeds meer toegang tot hun systemen via het Internet om bijvoorbeeld de statusvan een order te kunnen volgen.Consequentie: er ontstaan steeds meer mogelijkheden voor kwaadwillendenom toegang te krijgen tot de systemen van een MKB-organisatie of onderneming.Je kunt je afvragen in hoeverre dit een business risk is, laat staan een audit risk.Veelal wordt dit door de ondernemer zelf afgedaan met de opmerking: ‘bij onsvalt toch niets te halen’ of ‘ik vind het niet erg als mijn prijzen bekend zijn bij deconcurrenten’.Echter: er is wel degelijk heel veel te halen bij slecht beveiligde systemen, zekervoor wat het criminele Internetcircuit betreft. Immers voor spammers is eenslecht beveiligde (web)mailserver prachtig. Voor het aanvallen van andere systemenis het ideaal om slecht beveiligde systemen te misbruiken zodat alle sporendaarheen leiden. Er wordt naarstig gezocht naar slecht beveiligde systemen voorhet plaatsen en distribueren van illegale foto’s, video’s en software.Consequenties kunnen dan al snel zijn: het afsluiten van de Internetverbinding door de provider. Dat is heel vervelendwanneer een groot deel van de omzet via de website loopt; imagoschade door het publiceren van misbruik van de eigen systemen; claims als gevolg van het beschadigen van systemen van derden via de eigensystemen.De cliënt zou hierbij wel eens wat onzekerder op zijn stoel kunnen gaan schuiven(business risk) en de accountant kan zich afvragen of dit materiële gevolgen ofzelfs continuïteitsrisico’s kan hebben voor de organisatie (audit risks).Deze issues zijn uiteindelijk eenvoudig vast te stellen door inzet van geautomatiseerdetools waarbij snel inzicht wordt verkregen in de beveiliging van deInternetkoppeling.klassieke controle plaats te vinden en zaler om het systeem heen moeten wordengecontroleerd. Indien de ondernemingwel goed is geautomatiseerd, dan kan deaccountantscontrole efficiënt uitgevoerdworden. Een beloning voor de inspanningenvan de onderneming.Systeemgerichte werkzaamhedenOp basis van het controleplan wordensysteemgerichte werkzaamheden uitgevoerd.De IT-auditor voert samen metde IT first accountant de lijncontroles uitdoor samen met de cliënt aan het schermte zitten, een waarneming ter plaatsedus. Dit is misschien wel het meestkrachtige, maar ook het minst gebruiktecontrolemiddel. De clarity richtlijnen onderschrijvendat dit middel kan wordeningezet. Accountants zijn helaas nogsteeds meer geneigd andere controlemiddelenin te zetten. Met name de herhalingvan werkzaamheden, narekenen van uitkomstenof verificatie zijn populair. Eenvastlegging van een waarneming terplaatse hoeft helemaal niet moeilijk tezijn. Iedere assistent accountant heefteen smart phone waarmee een filmpjemee kan worden opgenomen en als controle-informatiein het digitale dossierkan worden opgehangen.De IT-auditor en de accountant bepalensamen in hoeverre het controleplan veranderdmoet worden: is er nog meer metIT te controleren of moet het minderomdat de IT het niet toelaat?Indien de controle-aanpak wordt gewijzigd,vindt er opnieuw overleg plaats metde directie van de onderneming, immersde interne beheersing in de IT blijkt tochanders te zijn dan de directie dacht. Ookwww.accountancynieuws.nl 21